Les développeurs sont avertis d'une campagne à grande échelle exploitant la fonctionnalité Discussions de **GitHub** pour propager des malwares. L'attaque consiste à publier de fausses alertes de sécurité **VS Code**, se faisant passer pour de véritables avis de vulnérabilité, afin de tromper les utilisateurs et les inciter à télécharger des logiciels malveillants. ### Appâts réalistes et usurpation d'identité Les publications trompeuses présentent souvent des titres réalistes comme « Vulnérabilité critique - Mise à jour immédiate requise » et peuvent inclure de faux identifiants **CVE** pour créer un sentiment d'urgence. Dans de nombreux cas, les acteurs de la menace usurpent l'identité de mainteneurs de code légitimes ou de chercheurs en sécurité pour renforcer leur crédibilité. **Socket**, une entreprise spécialisée dans la sécurité des applications, a qualifié cette activité d'opération bien organisée et à grande échelle, plutôt que d'attaque ciblée de manière étroite. Les discussions sont publiées rapidement à partir de comptes nouvellement créés ou peu actifs sur des milliers de dépôts, déclenchant des notifications par e-mail à un grand nombre d'utilisateurs tagués et d'abonnés.  *Source : Socket* « Les premières recherches montrent des milliers de publications quasi identiques dans les dépôts, indiquant qu'il ne s'agit pas d'un incident isolé mais d'une campagne de spam coordonnée », ont déclaré les chercheurs de **Socket** dans leur rapport. « Étant donné que les Discussions de **GitHub** déclenchent des notifications par e-mail pour les participants et les observateurs, ces publications sont également livrées directement dans la boîte de réception des développeurs. » ### Liens malveillants et redirection Les publications incluent des liens vers des versions prétendument corrigées des extensions **VS Code** affectées, hébergées sur des services externes tels que **Google Drive**. Bien que **Google Drive** soit un service de confiance, ce n'est pas le canal de distribution officiel des extensions **VS Code**, et les utilisateurs agissant rapidement pourraient négliger ce signal d'alarme.  *Source : Socket* Cliquer sur le lien **Google** initie une chaîne de redirection basée sur les cookies, menant les victimes à `drnatashachinn[.]com`, qui exécute un script de reconnaissance **JavaScript**. Ce script collecte le fuseau horaire de la victime, sa locale, son user agent, les détails de son OS et des indicateurs d'automatisation. Les données collectées sont ensuite envoyées au serveur de commande et de contrôle via une requête **POST**.  *Source : Socket* ### Système de distribution de trafic (TDS) Cette étape agit comme une couche de filtrage de système de distribution de trafic (**TDS**), profilant les cibles pour filtrer les bots et les chercheurs, et ne livrant la charge utile de second étage qu'aux victimes validées. Bien que **Socket** n'ait pas capturé la charge utile de second étage, ils ont noté que le script **JS** ne la livre pas directement et ne tente pas de capturer d'informations d'identification. ### Incidents antérieurs Ce n'est pas la première fois que des attaquants exploitent les systèmes de notification de **GitHub** à des fins malveillantes. En mars 2025, une campagne de phishing généralisée a ciblé 12 000 dépôts **GitHub** avec de fausses alertes de sécurité, incitant les développeurs à autoriser une application **OAuth** malveillante. En juin 2024, des acteurs de la menace ont abusé du système d'e-mail de **GitHub** via des commentaires spam et des pull requests, dirigeant les cibles vers des pages de phishing. ### Conseils de mitigation Lors de la réception d'alertes de sécurité, les utilisateurs doivent vérifier les identifiants de vulnérabilité dans des sources faisant autorité telles que la **National Vulnerability Database (NVD)**, le catalogue des vulnérabilités connues exploitées de la **CISA**, ou le site web du programme **Common Vulnerabilities and Exposures (CVE)** du **MITRE**. Examinez toujours les alertes à la recherche de signes de fraude, tels que des liens de téléchargement externes, des **CVE** non vérifiables et un marquage massif d'utilisateurs non concernés, avant d'agir.